UAC-0010（別名：アルマゲドンAPT攻撃）検出：ウクライナを標的とするグループの進行中の攻撃作戦の概要

ロシアによるウクライナへの本格的な侵攻以来、侵略者の攻撃軍はウクライナに対して数千の標的型サイバー攻撃を実行しています。最も持続的な脅威の一つは、悪名高いサイバースパイ集団として追跡される UAC-0010 (Armageddon)に属しています。この記事では、対応する CERT-UA の調査に基づき、2023年7月現在のフィッシング攻撃ベクトルを大いに悪用してウクライナに対して行われたこのグループの敵対的活動の概要を提供します。 

UAC-0010 (Armageddon APT) 攻撃の説明 

ウクライナの公務員を標的とし、組織の重要なITインフラストラクチャを麻痺させることを目的とするサイバー攻撃の増加に伴い、防御側はそれに関連する脅威を防ぎ、特定し、迅速に対処するための効果的な手段を導入しています。 CERT-UAの調査によれば、Armageddon こと Gamaredon としても知られるUAC-0010は、ウクライナのサイバー最前線における最も持続的な脅威の一つとして残っており、ウクライナの安全保障および防衛部隊に対するサイバースパイ活動が主要な敵対目標です。ウクライナ安全保障局クリミア本局の元役員が、2014年に軍の誓いを破りロシア連邦安全保障局に勤め始めたとされ、グループの攻撃キャンペーンの背後にいると考えられています。 

調査されたインシデントに基づいて、ウクライナの公共部門組織の情報通信システム内の感染したデバイスの数は数千に達するかもしれません。UAC-0010は主としてメール配信やTelegram、WhatsApp、Signalメッセンジャーを初期攻撃ベクトルとして使用し、すでに侵害されたアカウントを利用します。初期の侵害手段として最も頻繁に使われる方法の一つは、マルウェアが含まれたHTMまたはHTAファイルをターゲットユーザーに送信することです。ファイルを開くことで誘導され、ショートカットファイルを含むアーカイブを生成し、これが感染チェーンを引き起こします。 

マルウェアの配布において、Armageddon APTは脆弱なリムーバブルデータストレージデバイス、LNKファイルを含む正規ファイル、および変更されたMicrosoft Office Wordテンプレートを悪用し、攻撃対象システムで生成された任意のドキュメントを対応するマクロを追加することで感染させます。

攻撃のさらなる段階では、攻撃者は GammaLoadまたはGammaSteelマルウェアを通じてファイルやユーザーのセンシティブデータを盗むことが可能です。感染の結果、脆弱なデバイスは100以上の侵害されたファイルを含むことができます。さらに、OSレジストリのクリーンアップまたはファイルやスケジュールされたタスクの削除の後に感染したファイルの一つが影響を受けたシステムに残っている場合、コンピュータが再感染の餌食になる可能性は非常に高いです。2023年7月現在、UAC-0010はPowerShellコマンドを使用してデータの流出とリモートコード実行を行い、Anydeskユーティリティを用いてリアルタイムリモートアクセスを行っています。  

攻撃者は、攻撃能力を継続的に強化し、検知回避およびセキュリティ保護の回避を狙っています。例えば、特定のPowerShellシナリオを適用して二要素認証を回避しています。DNSサブシステムの使用を回避するため、管理サーバーのIPアドレスを特定するためにサードパーティのTelegramサービスを使用し、仲介制御ノードのIPアドレスを一日に何度も変更する傾向があります。 

潜在的な緩和策として、CERT-UAの研究者は、mshta.exe、wscript.exe、cscript.exe、powershell.exeのような特定のユーティリティの起動を制限することを組織のシステムで実施することを推奨しています。インターネット接続の確立にStarlinkを利用するデバイスは、UAC-0010の悪意ある活動に起因する脅威に対してより曝露されやすいかもしれません。

ウクライナに対するUAC-0010ことArmageddonロシアンAPT持続キャンペーンの検出

UAC-0010ロシア連続攻撃グループが開始した攻撃の数は増加しており、ウクライナとその同盟国を効果的に攻撃から守る方法を求める防御者の即時の注意を必要としています。SOC Prime Platform は、適切なタグ「UAC-0010」でフィルタされたプロアクティブなUAC-0010攻撃検出用の総合的なSigmaルールのリストをキュレーションしています。 

前述の検証済みアラートとハンティングクエリを詳細に調べるには、 Explore Detections ボタンを押して、現在のセキュリティニーズに合致するSigmaルールを選び、組織固有のログソースをカバーしてください。すべての検出アルゴリズムは、 MITRE ATT&CKフレームワークv12に沿って適切なTTPsに対応しており、あなたの組織で使用される多数のSIEM、EDR、XDR技術で利用可能です。 

Explore Detections

防御者は、関連するCERT-UAレポートにリストされているUAC-0010脅威に関連する妨害指標を活用し、SOC Primeの Uncoder AI により、組織に合わせたIOCクエリをクリック数回で作成し、選択したSIEMまたはEDR環境で自動的に作業することができます。 

登録する SOC Prime Platform を利用して、現行のサイバー防御の旅に合わせたツールを選びましょう。既存および新たな脅威に関する世界最大のSigmaルールコレクションを持つThreat Detection Marketplaceを探検し、選択したコンテンツの背後にあるサイバー脅威のコンテキストを掘り下げ、検出をカスタムデータスキーマに調整し、Uncoder AIを使ってその場で選択した言語形式に翻訳しするか、数秒で検出スタック全体を検証して、あなたの検出カバレッジの盲点をシームレスに特定し、コンテンツ優先順位に基づいた脅威スキャンを実行します。